Logo

Selecione o idioma

Portuguese

Down Icon

Selecione o país

Italy

Down Icon

Vazamento revela a vida cotidiana dos golpistas de TI norte-coreanos

Vazamento revela a vida cotidiana dos golpistas de TI norte-coreanos
Planilhas, mensagens do Slack e arquivos vinculados a um suposto grupo de trabalhadores de TI norte-coreanos expõem seu meticuloso planejamento de trabalho e direcionamento — e a vigilância constante à qual estão sujeitos.
FOTO-ILUSTRAÇÃO: EQUIPE DA WIRED; GETTY IMAGES

A procura de emprego é um novo tipo de inferno. Horas são desperdiçadas vasculhando vagas em aberto, revisando cartas de apresentação, lidando com recrutadores obtusos — e isso tudo antes de começar com as possíveis entrevistas. Indiscutivelmente, alguns dos candidatos a emprego mais prolíficos do mundo — ou pelo menos os mais persistentes — são aqueles que participam dos programas de recrutamento de trabalhadores de TI da Coreia do Norte . Durante anos, o regime repressivo de Kim Jong-un enviou com sucesso programadores qualificados para o exterior, onde eles são encarregados de encontrar trabalho remoto e enviar dinheiro de volta para a nação fortemente sancionada e isolada. A cada ano, milhares de trabalhadores de TI geram entre US$ 250 milhões e US$ 600 milhões, de acordo com estimativas das Nações Unidas .

Agora, uma nova e aparentemente enorme quantidade de dados, obtida por um pesquisador de segurança cibernética, lança uma nova luz sobre como um grupo de supostos funcionários de TI norte-coreanos conduz suas operações e o planejamento meticuloso envolvido nos esquemas de angariação de fundos. O dinheiro ganho por funcionários de TI golpistas contribui para os esforços de desenvolvimento de armas de destruição em massa e programas de mísseis balísticos da Coreia do Norte, afirmou o governo dos EUA. E-mails, planilhas, documentos e mensagens de bate-papo de contas do Google, GitHub e Slack supostamente vinculadas aos supostos golpistas norte-coreanos mostram como eles rastreiam possíveis empregos, registram suas candidaturas em andamento e registram seus rendimentos com meticulosa atenção aos detalhes.

O conjunto de dados, que representa um vislumbre da vida cotidiana de alguns trabalhadores de TI da Coreia do Norte, também supostamente inclui documentos de identidade falsos que podem ser usados para candidaturas a empregos, além de exemplos de cartas de apresentação, detalhes sobre fazendas de laptops e manuais usados para criar contas online. Isso reforça a dependência dos trabalhadores da RPDC em relação a serviços de tecnologia baseados nos EUA, como Google, Slack e GitHub.

“Acho que esta é a primeira vez que vejo como as operações internas deles funcionam”, diz o pesquisador de segurança, que usa o pseudônimo SttyK e pediu para não ser identificado por questões de privacidade e segurança. SttyK, que apresentará suas descobertas na conferência de segurança Black Hat em Las Vegas hoje, afirma que uma fonte confidencial não identificada forneceu os dados das contas online. “São dezenas de gigabytes de dados. São milhares de e-mails”, diz SttyK, que mostrou sua apresentação à WIRED antes da conferência.

Nos últimos anos, os trabalhadores de TI da Coreia do Norte se infiltraram em grandes empresas da Fortune 500, em uma série de empresas de tecnologia e criptomoedas e em inúmeras pequenas empresas. Embora nem todas as equipes de trabalhadores de TI usem as mesmas abordagens, elas frequentemente usam identidades falsas ou roubadas para conseguir trabalho e também usam facilitadores que ajudam a encobrir seus rastros digitais . Os trabalhadores de TI geralmente estão baseados na Rússia ou na China e recebem mais liberdade e liberdade — eles foram vistos curtindo festas na piscina e jantando fora em jantares caros com bife — do que milhões de norte-coreanos que não têm direitos humanos básicos. Um desertor norte-coreano que operava como trabalhador de TI disse recentemente à BBC que 85% de seus ganhos ilícitos foram enviados para a Coreia do Norte. "Ainda é muito melhor do que quando estávamos na Coreia do Norte", disseram eles.

Várias capturas de tela de planilhas com os dados obtidos pela SttyK mostram um grupo de profissionais de TI aparentemente divididos em 12 grupos — cada um com cerca de uma dúzia de membros — e um "chefe geral". As planilhas são elaboradas metodologicamente para acompanhar tarefas e orçamentos: elas têm guias de resumo e análise que detalham os dados de cada grupo. Linhas e colunas são preenchidas com cuidado; parecem ser atualizadas e mantidas regularmente.

As tabelas mostram as possíveis vagas para profissionais de TI. Uma planilha, que aparentemente inclui atualizações diárias, lista as descrições das vagas ("precisa-se de um novo desenvolvedor React e Web3"), as empresas que as anunciam e suas localizações. Também há links para as vagas em sites de freelancers ou os dados de contato dos responsáveis pela contratação. Uma coluna de "status" informa se as vagas estão "aguardando" ou se houve "contato".

Capturas de tela de uma planilha vista pela WIRED parecem listar os possíveis nomes reais dos próprios funcionários de TI. Ao lado de cada nome, há um registro da marca e do modelo do computador que eles supostamente possuem, bem como monitores, discos rígidos e números de série de cada dispositivo. O "chefe", cujo nome não foi listado, aparentemente usa um monitor de 34 polegadas e dois discos rígidos de 500 GB.

Uma página de "análise" nos dados vistos por SttyK, o pesquisador de segurança, mostra uma lista de tipos de trabalho em que o grupo de fraudadores está envolvido: IA, blockchain, web scraping, desenvolvimento de bots, desenvolvimento de aplicativos móveis e web, negociação, desenvolvimento de CMS, desenvolvimento de aplicativos desktop e "outros". Cada categoria tem um orçamento potencial listado e um campo "total pago". Uma dúzia de gráficos em uma planilha afirmam rastrear quanto eles receberam, as regiões mais lucrativas para ganhar dinheiro e se receber pagamentos semanais, mensais ou em valor fixo é o mais bem-sucedido.

“É administrado profissionalmente”, afirma Michael “Barni” Barnhart, um importante pesquisador norte-coreano de ameaças e hackers que trabalha para a empresa de segurança contra ameaças internas DTEX. “Todos precisam cumprir suas cotas. Tudo precisa ser anotado. Tudo precisa ser anotado”, afirma. O pesquisador acrescenta que já observou níveis semelhantes de manutenção de registros em grupos sofisticados de hackers da Coreia do Norte , que roubaram bilhões em criptomoedas nos últimos anos e são, em grande parte, independentes dos esquemas envolvendo funcionários de TI. Barnhart analisou os dados obtidos pela SttyK e afirma que eles se sobrepõem ao que ele e outros pesquisadores estavam rastreando.

"Acredito que esses dados sejam muito reais", afirma Evan Gordenker, gerente sênior de consultoria da equipe de inteligência de ameaças da Unidade 42 da empresa de segurança cibernética Palo Alto Networks, que também teve acesso aos dados obtidos pela SttyK. Gordenker afirma que a empresa vinha rastreando diversas contas nos dados e que uma das contas mais importantes do GitHub já havia exposto publicamente os arquivos dos profissionais de TI. Nenhum dos endereços de e-mail vinculados à RPDC respondeu aos pedidos de comentário da WIRED.

O GitHub removeu três contas de desenvolvedores após a WIRED entrar em contato com Raj Laud, chefe de segurança cibernética e segurança online da empresa, informando que elas foram suspensas de acordo com suas regras de "spam e atividades inautênticas". "A prevalência de tais atividades de ameaças de Estados-nação é um desafio para toda a indústria e uma questão complexa que levamos a sério", afirma Laud.

O Google se recusou a comentar sobre contas específicas fornecidas pela WIRED, citando políticas de privacidade e segurança de contas. "Temos processos e políticas em vigor para detectar essas operações e denunciá-las às autoridades", afirma Mike Sinno, diretor de detecção e resposta do Google. "Esses processos incluem tomar medidas contra atividades fraudulentas, notificar proativamente as organizações visadas e trabalhar com parcerias públicas e privadas para compartilhar informações sobre ameaças que fortaleçam as defesas contra essas campanhas."

“Temos políticas rígidas que proíbem o uso do Slack por indivíduos ou entidades sancionadas e tomamos medidas rápidas quando identificamos atividades que violam essas regras”, afirma Allen Tsai, diretor sênior de comunicações corporativas da Salesforce, empresa controladora do Slack. “Cooperamos com as autoridades policiais e relevantes conforme exigido por lei e não comentamos sobre contas específicas ou investigações em andamento.”

Outra planilha também lista os membros como parte de uma "unidade" chamada "KUT", uma abreviação potencial da Universidade de Tecnologia Kim Chaek da Coreia do Norte, que foi citada em alertas do governo dos EUA sobre trabalhadores de TI ligados à RPDC. Uma coluna na planilha também lista "propriedade" como "Ryonbong", provavelmente se referindo à empresa de defesa Korea Ryonbong General Corporation, que foi sancionada pelos EUA desde 2005 e pela ONU desde 2009. "A grande maioria deles [trabalhadores de TI] são subordinados e trabalham em nome de entidades diretamente envolvidas nos programas de armas de destruição em massa e mísseis balísticos proibidos pela ONU da RPDC, bem como em seus setores avançados de desenvolvimento e comércio de armas convencionais", disse o Departamento do Tesouro dos EUA em um relatório de maio de 2022 .

Entre a miríade de contas do GitHub e do LinkedIn, currículos e sites de portfólio vinculados a profissionais de TI que os pesquisadores identificaram nos últimos anos, frequentemente há padrões distintos. Endereços de e-mail e contas usam os mesmos nomes; os currículos podem parecer idênticos. "A reutilização do conteúdo do currículo também é algo que temos visto com frequência em seus perfis", diz Benjamin Racenberg, pesquisador sênior que rastreou personas de profissionais de TI norte-coreanos na empresa de segurança cibernética Nisos. Racenberg diz que os golpistas estão adotando cada vez mais IA para manipulação de imagens , videochamadas e como parte dos scripts que usam. "Para sites de portfólio, os vimos usar modelos e usar o mesmo modelo repetidamente", diz Racenberg.

Tudo isso aponta para uma rotina cansativa para os profissionais de TI encarregados de executar os esquemas criminosos para o regime de Kim. "É muita coisa de copiar e colar", diz Gordenker, da Unidade 42. Um suspeito de ser funcionário de TI que Gordenker rastreou foi flagrado usando 119 identidades. "Ele pesquisa geradores de nomes japoneses no Google — com a grafia errada, é claro — e, em seguida, ao longo de cerca de quatro horas, preenche planilhas repletas de nomes e possíveis locais [para atingir]."

A documentação detalhada também serve a outro propósito: rastrear os profissionais de TI e suas ações. "Há muitas etapas quando o dinheiro chega às mãos da liderança, então eles vão precisar de números precisos", diz Barnhart, da DTEX. Softwares de monitoramento de funcionários foram vistos em alguns casos nas máquinas dos golpistas, e pesquisadores afirmam que norte-coreanos em entrevistas de emprego não respondem a perguntas sobre Kim .

SttyK afirma ter visto dezenas de gravações de tela em canais do Slack mostrando a atividade diária dos funcionários. Em capturas de tela de uma instância do Slack, a conta "Chefe" envia uma mensagem: "@canal: Todos devem tentar trabalhar mais de 14 horas por dia". A próxima mensagem enviada diz: "Este registro de tempo inclui o tempo ocioso, como vocês sabem".

“Curiosamente, a comunicação deles tem sido toda em inglês, não em coreano”, diz SttyK. O pesquisador, juntamente com outros, especula que isso pode ocorrer por alguns motivos: primeiro, para se misturar a atividades legítimas; e segundo, para ajudar a aprimorar suas habilidades de inglês para candidaturas e entrevistas. Dados da conta do Google, diz SttyK, mostram que eles usavam frequentemente a tradução online para processar mensagens.

Além de um vislumbre das maneiras como os profissionais de TI monitoram seu desempenho, os dados obtidos por SttyK fornecem algumas pistas limitadas sobre o cotidiano dos próprios golpistas. Uma planilha lista um torneio de vôlei que os profissionais de TI aparentemente planejaram; em canais do Slack, eles comemoraram aniversários e compartilharam memes inspiradores de uma conta popular do Instagram. Em algumas gravações de tela, SttyK diz que eles podem ser vistos jogando Counter-Strike . "Senti que havia uma forte união entre os membros", diz SttyK.

wired

wired

Notícias semelhantes

Todas as notícias
Animated ArrowAnimated ArrowAnimated Arrow
GPT-5 chega: veja como a Microsoft traz nova IA para suas plataformas
ilsole24ore

GPT-5 chega: veja como a Microsoft traz nova IA para suas plataformas

Apague isso do seu celular imediatamente. Ele rouba suas credenciais bancárias.
wnp.pl

Apague isso do seu celular imediatamente. Ele rouba suas credenciais bancárias.

Forme parte de la revolución del comercio electrónico: Derbazar busca socios visionarios para el mercado alemán
Derbazar

Forme parte de la revolución del comercio electrónico: Derbazar busca socios visionarios para el mercado alemán

Uma guerra de superpotências está se aproximando. 5 sinais perturbadores.
wnp.pl

Uma guerra de superpotências está se aproximando. 5 sinais perturbadores.

Se o primeiro-ministro sueco usar IA, isso não colocará a segurança em risco.
ilmanifesto

Se o primeiro-ministro sueco usar IA, isso não colocará a segurança em risco.